Cette page a été traduite par l'API Cloud Translation.

Exemples de restrictions sur les organisations

Cette page décrit plusieurs exemples courants d'utilisation des restrictions sur les organisations.

Limiter l'accès à votre organisation uniquement

Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie de l'organisation A s'engagent à limiter l'accès des employés aux seules ressources de leur organisationGoogle Cloud .

Pour limiter l'accès à votre organisation uniquement, procédez comme suit:

En tant qu' Google Cloud administrateur, pour obtenir l' Google Cloud ID de l'organisation A, utilisez la commande gcloud organizations list:
```
    gcloud organizations list
```
Voici un exemple de résultat:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
En tant qu'administrateur de proxy de sortie, après avoir obtenu l'ID de l'organisation auprès de l'administrateur Google Cloud, composez la représentation JSON de la valeur d'en-tête au format suivant:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
En tant qu'administrateur de proxy de sortie, encodez la valeur de l'en-tête de la requête en suivant les spécifications de la section 5 de la RFC 4648.

Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
En tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation A:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

Limiter l'accès à votre organisation et autoriser les requêtes de lecture sur les ressources Cloud Storage

Dans cet exemple, l' Google Cloud administrateur et l'administrateur du proxy de sortie de l'organisation A s'engagent à limiter l'accès des employés aux seules ressources de leurGoogle Cloud organisation, à l'exception des requêtes de lecture des ressources Cloud Storage. Les administrateurs peuvent choisir d'exclure les requêtes de lecture des ressources Cloud Storage de l'application des restrictions de l'organisation pour s'assurer que leurs employés peuvent accéder aux sites Web externes qui utilisent Cloud Storage pour héberger du contenu statique. L'administrateur utilise l'option cloudStorageReadAllowed pour autoriser les requêtes de lecture sur les ressources Cloud Storage.

Pour limiter l'accès à votre organisation uniquement et autoriser les requêtes de lecture aux ressources Cloud Storage, procédez comme suit:

En tant qu' Google Cloud administrateur, pour obtenir l' Google Cloud ID de l'organisation A, utilisez la commande gcloud organizations list:
```
    gcloud organizations list
```
Voici un exemple de résultat:
```
    DISPLAY_NAME: Organization A
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
En tant qu'administrateur de proxy de sortie, après avoir obtenu l'ID de l'organisation auprès de l'administrateur Google Cloud, composez la représentation JSON de la valeur d'en-tête au format suivant:
```
 {
 "resources": ["organizations/123456789"],
  "options": "cloudStorageReadAllowed"
 }
```
En tant qu'administrateur de proxy de sortie, encodez la valeur de l'en-tête de la requête en suivant les spécifications de la section 5 de la RFC 4648.

Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
En tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation A:
```
 X-Goog-Allowed-Resources: ewogICJyZXNvdXJjZXMiOiBbIm9yZ2FuaXphdGlvbnMvMTIzNDU2Nzg5Il0sCiAgIm9wdGlvbnMiOiAiY2xvdWRTdG9yYWdlUmVhZEFsbG93ZCIKfQo=l
```
Les employés de l'organisation A ont désormais accès à leur Google Cloud organisation et à un accès en lecture aux ressources Cloud Storage.

Autoriser les employés à accéder à une organisation Google Cloud de fournisseur

Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie de l'organisation B collaborent pour permettre aux employés d'accéder à une organisation Google Cloud de fournisseur en plus de leur organisation Google Cloud existante.

Pour limiter l'accès des employés à votre organisation et à celle du fournisseur uniquement, procédez comme suit:

En tant qu' Google Cloud administrateur, contactez le fournisseur pour obtenir l' Google CloudID de l'organisation du fournisseur.
En tant qu'administrateur de proxy de sortie, pour inclure l'ID de l'organisation du fournisseur en plus de l'ID de l'organisation existant, vous devez mettre à jour la représentation JSON de la valeur de l'en-tête. Une fois que vous avez obtenu l'ID de l'organisation du fournisseur auprès de l'administrateur Google Cloud, mettez à jour la valeur de l'en-tête au format suivant:
```
 {
 "resources": ["organizations/1234", "organizations/3456"],
  "options": "strict"
 }
```
En tant qu'administrateur de proxy de sortie, encodez la valeur de l'en-tête de la requête en suivant les spécifications de la section 5 de la RFC 4648.

Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
 ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
En tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant soit inséré dans toutes les requêtes provenant des appareils gérés de l'organisation B:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiLCAib3JnYW5pemF0aW9ucy8xMDExMTIxMzE0Il0sCiAib3B0aW9ucyI6ICJzdHJpY3QiCn0K
```
Les employés de l'organisation B ont désormais accès au fournisseur et à leurs Google Cloud organisations.

Limiter l'accès aux importations uniquement

Dans cet exemple, l'administrateur Google Cloud et l'administrateur du proxy de sortie de l'organisation C s'associent pour limiter l'accès des employés à l'importation aux seules ressources de l'organisationGoogle Cloud .

Pour limiter l'accès à l'importation à votre organisation uniquement, procédez comme suit:

En tant qu' Google Cloud administrateur, pour obtenir l' Google Cloud ID de l'organisation C, utilisez la commande gcloud organizations list:
```
    gcloud organizations list
```
Voici un exemple de résultat:
```
    DISPLAY_NAME: Organization C
    ID: 123456789
    DIRECTORY_CUSTOMER_ID: a1b2c3d4
```
En tant qu'administrateur de proxy de sortie, après avoir obtenu l'ID de l'organisation auprès de l'administrateur Google Cloud, composez la représentation JSON de la valeur d'en-tête au format suivant:
```
 {
 "resources": ["organizations/123456789"],
  "options": "strict"
 }
```
En tant qu'administrateur de proxy de sortie, encodez la valeur de l'en-tête de la requête en suivant les spécifications de la section 5 de la RFC 4648.

Par exemple, si la représentation JSON de la valeur d'en-tête est stockée dans le fichier authorized_orgs.json, pour encoder le fichier, exécutez la commande basenc suivante:
```
 $ cat authorized_orgs.json | basenc --base64url -w0
ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```
En tant qu'administrateur de proxy de sortie, configurez le proxy de sortie de sorte que l'en-tête de requête suivant ne soit inséré que pour les requêtes avec les méthodes PUT, POST et PATCH provenant des appareils gérés de l'organisation C:
```
 X-Goog-Allowed-Resources: ewogInJlc291cmNlcyI6IFsib3JnYW5pemF0aW9ucy8xMjM0NTY3ODkiXSwKICJvcHRpb25zIjogInN0cmljdCIKfQo
```

Étape suivante

Découvrez les services compatibles avec les restrictions d'organisation.

Exemples de restrictions sur les organisations Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.